Nexgen Systems - Desarrollo de SaaS, Web Apps y Agentes Autónomos con IA en México

Política de Seguridad de la Información

Última actualización: 10 de noviembre de 2025

1. Propósito

Establecer el marco de gobernanza para proteger la confidencialidad, integridad y disponibilidad de la información de NEXGEN SYSTEMS, S.A.S. de C.V. ("la Empresa"), sus clientes, socios y empleados. Define principios, controles y responsabilidades para la gestión integral de la seguridad.

2. Alcance

Aplica a toda la información y a los sistemas, redes, aplicaciones, servicios en la nube y activos tecnológicos de la Empresa, así como a empleados, contratistas, consultores y terceros con acceso a activos de información.

3. Principios de Seguridad de la Información

  • Confidencialidad: acceso solo a personal autorizado (necesidad de conocer).
  • Integridad: información precisa, completa y protegida contra modificaciones no autorizadas.
  • Disponibilidad: sistemas e información disponibles cuando se requieran.
  • Responsabilidad: acciones rastreables a una identidad única (trazabilidad).

4. Roles y Responsabilidades

CISO / Responsable de Seguridad

Desarrolla, implementa y mantiene esta Política y el programa de seguridad; coordina gestión de riesgos, incidentes y cumplimiento.

Propietarios de Activos de Información

Clasifican la información, definen controles de acceso y aceptan riesgos residuales.

Gerentes y Supervisores

Aseguran el cumplimiento en sus equipos; validan accesos y aprueban excepciones justificadas.

Todos los Empleados y Terceros

Cumplen esta Política, completan capacitaciones y reportan incidentes de inmediato.

5. Clasificación de la Información

Pública

Divulgación libre (p. ej., materiales de marketing).

Interna

Uso exclusivo interno; divulgación no autorizada sin impacto significativo.

Confidencial

Sensible para la Empresa o clientes; divulgación no autorizada con impacto moderado.

Restringida

Altamente sensible (secretos comerciales, datos personales sensibles); divulgación no autorizada con daño grave.

Etiquetado y Manejo

Todo activo debe etiquetarse según su clasificación. La información Confidencial/Restringida requiere cifrado en tránsito y en reposo, y control estricto de acceso.

6. Controles de Seguridad

6.1 Control de Acceso

  • Principio de menor privilegio y necesidad de conocer.
  • Autenticación fuerte (MFA) donde sea posible.
  • Gestión de identidades y accesos (alta, modificación y baja) con revisiones periódicas.

6.2 Seguridad Física y Ambiental

  • Áreas críticas con control de acceso, registro de visitantes y CCTV cuando aplique.
  • Protección contra riesgos ambientales (energía, temperatura, incendios).

6.3 Seguridad de las Operaciones

  • Protección antimalware/EDR en endpoints y servidores.
  • Parches y actualizaciones aplicados oportunamente.
  • Backups regulares, probados y con separación lógica/física.
  • Registro y monitoreo de eventos (logs) con retención definida.
  • Gestión de vulnerabilidades (escaneos y remediación en plazos definidos por criticidad).

6.4 Seguridad de las Comunicaciones

  • Cifrado de comunicaciones (TLS) y uso de VPN para acceso remoto.
  • Segmentación de redes y controles perimetrales.

6.5 Desarrollo y Mantenimiento de Sistemas (DevSecOps)

  • Seguridad integrada en el ciclo de vida: revisión de requisitos, análisis de riesgos, SAST/DAST, revisiones de código y gestión de dependencias (SBOM).
  • Separación de ambientes (dev/test/prod) y controles de cambios formales.
  • Llaves, secretos y credenciales gestionados en vaults.

6.6 Gestión de Proveedores y Nube

  • Evaluaciones de seguridad a terceros antes de su alta y de forma periódica.
  • Acuerdos de confidencialidad y cláusulas de seguridad.
  • Controles equivalentes en servicios cloud (configuraciones seguras, cifrado, registros).

6.7 Gestión de Incidentes de Seguridad

  • Proceso para reportar, clasificar, contener, erradicar y recuperar.
  • Notificación a interesados y a autoridades/reguladores cuando aplique.
  • Lecciones aprendidas y acciones correctivas documentadas.
  • Canales de reporte: seguridad@nexgen.mx (24/7).

6.8 Continuidad del Negocio y DRP

  • Análisis de impacto al negocio (BIA), RTO/RPO definidos.
  • Planes de Continuidad del Negocio y Recuperación ante Desastres probados al menos anualmente.

7. Capacitación y Concienciación

Capacitación obligatoria al ingreso y anual (o cuando cambie el riesgo) sobre: phishing, contraseñas/MFA, clasificación y manejo de información, incidentes y políticas clave. Campañas periódicas de concienciación y simulaciones de phishing.

8. Cumplimiento

El cumplimiento es obligatorio. Se realizarán auditorías y revisiones periódicas. El incumplimiento puede derivar en medidas disciplinarias (hasta la terminación laboral/contractual) y acciones legales. El tratamiento de datos personales se rige por el Aviso de Privacidad vigente.

9. Revisión y Mejora Continua

La Política se revisará anualmente o antes si cambian el entorno de amenazas, la tecnología o las operaciones. Los cambios aprobados se publicarán y comunicarán a los usuarios.

Contacto

Seguridad de la Información: seguridad@nexgen.mx

TI / Soporte: ti@nexgen.mx

Privacidad de Datos: privacidad@nexgen.mx

Teléfono: +52 (667) 272 99 00